检查点
A new non-default VPC has been created
/ 15
The new VPC contains a new non-default subnet within it
/ 15
A firewall rule exists that allows TCP port 3389 traffic ( for RDP )
/ 15
A Windows compute instance called vm-securehost exists that does not have a public ip-address
/ 20
A Windows compute instance called vm-bastionhost exists that has a public ip-address to which the TCP port 3389 firewall rule applies.
/ 20
The vm-securehost is running Microsoft IIS web server software.
/ 15
使用 Windows 堡垒主机配置安全 RDP:实验室挑战赛
GSP303
概览
在实验室挑战赛中,我们会为您提供一个场景和一系列任务。您将使用从课程的各个实验中学到的技能自行确定如何完成这些任务,而不是按照分步说明进行操作。自动评分系统(显示在本页面中)会提供有关您是否已正确完成任务的反馈。
在您参加实验室挑战赛期间,我们不会再教授新的 Google Cloud 概念知识。您需要拓展所学的技能,例如通过更改默认值和查看并研究错误消息来更正您自己所犯的错误。
要想获得满分,您必须在该时间段内成功完成所有任务!
我们建议准备参加 Google Cloud 认证 Professional Cloud Architect 认证考试的学员参加此实验室挑战赛。准备好接受挑战了吗?
挑战场景
贵公司已决定在云端部署新的应用服务,您的任务是开发一个安全框架来管理将部署的 Windows 服务。您需要为安全生产中的 Windows 服务器新建一个 VPC 网络环境。
生产服务器最初必须与外部网络完全隔离开来,并且这些服务器无法直接通过互联网进行访问,也无法直接连接到互联网。为了在这种环境中配置并管理您的第一个服务器,您还需要部署一台可以使用 Microsoft 远程桌面协议 (RDP) 来通过互联网访问的堡垒主机或跳板主机。该堡垒主机应只能使用 RDP 通过互联网进行访问,并且只能使用 RDP 与 VPC 网络内的其他计算实例进行通信。
此外,贵公司还有一个从默认 VPC 网络运行的监控系统,因此所有计算实例都必须具有另一个网络接口,以仅实现与默认 VPC 网络的内部连接。
您的挑战
在新的 VPC 子网内部署未进行外部通信配置的安全 Windows 机器,然后在该安全机器上部署 Microsoft Internet Information Server。鉴于本实验的目的,应在以下区域和可用区中预配所有资源:
-
区域:
-
可用区:
任务
下面列出了关键任务。祝您好运!
- 新建包含一个子网的 VPC 网络。
- 创建一条允许外部 RDP 流量传入堡垒主机系统的防火墙规则。
- 部署两个同时连接到 VPC 网络和默认网络的 Windows 服务器。
- 创建指向启动脚本的虚拟机。
- 配置一条允许对该虚拟机进行 HTTP 访问的防火墙规则。
任务 1. 创建 VPC 网络
- 新建名为
securenetwork
的 VPC 网络。
点击检查我的进度,验证已完成以下目标:
- 在
区域中的 securenetwork
内新建一个 VPC 子网。
点击检查我的进度,验证已完成以下目标:
- 在该网络和子网的配置完成后,配置一条允许入站 RDP 流量(TCP 端口 3389)从互联网传入堡垒主机的防火墙规则。应使用网络标记将该规则应用于相应的主机。
点击检查我的进度,验证已完成以下目标:
任务 2. 部署您的 Windows 实例并配置用户密码
- 在
可用区中,部署一个具有两个网络接口的 Windows Server 2016 (Server with Desktop Experience) 实例 vm-securehost
。- 将第一个网络接口配置为仅与新创建的 VPC 子网建立内部连接。
- 将第二个网络接口配置为仅与默认 VPC 网络建立内部连接。这是安全服务器。
点击检查我的进度,验证已完成以下目标:vm-securehost
实例。
- 在
可用区中,再部署一个具有两个网络接口的 Windows Server 2016 (Server with Desktop Experience) 实例 vm-bastionhost
。- 将第一个网络接口配置为连接到新创建的具有临时公共(外部 NAT)地址的 VPC 子网。
- 将第二个网络接口配置为仅与默认 VPC 网络建立内部连接。这是跳板主机或堡垒主机。
点击检查我的进度,验证已完成以下目标:vm-bastionhost
实例。
配置用户密码
- 在 Windows 实例创建完成后,创建一个用户账号并重置 Windows 密码,以便连接到每个实例。
- 使用以下
gcloud
命令可为位于可用区中的主机 vm-bastionhost
新建用户app-admin
并重置密码:
- 使用以下
gcloud
命令可为位于可用区中的主机 vm-securehost
新建用户app-admin
并重置密码:
- 或者,您可以通过 Compute Engine 控制台强制重置密码。您必须对第二个主机重复此过程,因为该实例的登录凭据不同。
任务 3. 连接到安全主机并配置 Internet Information Server
-
如要连接到安全主机,您必须先使用 RDP 连接到
堡垒主机
。利用“计算实例”摘要页面中 Windows Compute 实例旁边的 RDP 按钮,可以通过 RDP 连接到具有外部地址的 Windows Compute 实例。 -
通过 RDP 会话连接到堡垒主机后,再在
堡垒主机
内打开一个新的 RDP 会话,以连接到安全主机
的内部专用网络地址。 -
连接到 Windows 服务器后,您可以使用命令
mstsc.exe
启动 Microsoft RDP 客户端,也可以在“开始”菜单中搜索Remote Desktop Manager
。这将让您能够从堡垒主机连接到同一 VPC 上的其他计算实例,即使这些实例自身并未直接连接到互联网也是如此。
通过 RDP 连接到 vm-securehost
虚拟机后,再配置 Internet Information Server。
-
登录 vm-securehost 虚拟机后,打开服务器管理窗口。然后
配置本地服务器
,添加角色和功能。 -
使用
基于角色或基于功能的安装
,以添加Web 服务器 (IIS)
角色。
点击检查我的进度,验证已完成以下目标:
问题排查
- 无法连接到堡垒主机:确保您尝试连接的是堡垒主机的外部地址。在地址正确的情况下,如果防火墙规则未得到正确配置,不允许来自互联网或您自身系统的公共 IP 地址的流量通过 TCP 端口 3389 (RDP) 传入具有外部地址的堡垒主机上的网络接口,那么您可能也无法连接到堡垒主机。最后,如果您自己的网络不允许通过 RDP 访问互联网地址,那么您可能会在通过 RDP 进行连接时遇到问题。如果其他一切设置都没有问题,那么您需要联系连接互联网时所使用网络的所有者,以申请开放 3389 端口,或者使用其他网络进行连接。
- 无法从堡垒主机连接到安全主机:如果您可以成功地连接到堡垒主机,但无法使用 Microsoft 远程桌面连接应用建立内部 RDP 连接,请确认两个实例是连接到同一 VPC 网络。
恭喜!
恭喜!在本实验中,您使用堡垒主机和 VPC 网络配置了一个安全的 Windows 服务器环境。此外,您还配置了一条允许对虚拟机进行 HTTP 访问的防火墙规则,并且在安全机器上部署了 Microsoft Internet Information Server。
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2024 年 2 月 9 日
上次测试实验的时间:2023 年 12 月 6 日
版权所有 2024 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。